POLITYKA PRYWATNOŚCI SERWISU PARTNER.PIKO24.PL

§ 1. Administator danych

  • Administratorem Twoich danych osobowych jest Piko24 Sp. z o.o. z siedzibą w Mikołowie (43-190), przy ul. Rynek 2, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Katowice-Wschód w Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0001119063, NIP: 6351871858, REGON: 529292987.

  • Dane kontaktowe Administratora:

    • Telefon: +48 800 802 801

    • E-mail: pomoc@piko24.pl

    • Adres korespondencyjny: ul. Rynek 2, 43-190 Mikołów.

  • W sprawach dotyczących ochrony danych osobowych prosimy o kontakt na adres poczty elektronicznej: biuro@piko24.pl lub adres korespondencyjny Piko24 Sp. z o.o., ul. Rynek 2, 43-190 Mikołów.

  • Spółka nie powołała Inspektora Ochrony Danych.

§ 2. Cele i podstawy prawne przetwarzania danych

  • Podanie Danych osobowych jest dobrowolne, niemniej jest konieczne do korzystania serwisu www. Korzystanie ze strony www może wymagać rejestracji konta oraz jego aktywacji na zasadach określonych w odrębnym regulaminie.

  • Dane są gromadzone przez administratora, w tym zapisywane w plikach cookies, tokenach, w ramach prowadzonej komunikacji e-mailowej, sms oraz telefonicznej, na serwerach administratora.

  • Twoje dane osobowe są przetwarzane w celu:

    1. umożliwienia dostępu do strony www i świadczonych usług na podstawie art. 6 ust. 1 lit. b) RODO, tj. niezbędności przetwarzania;

    2. wypełnienia obowiązków prawnych ciążących na administratorze wynikających ze przepisów prawa - na podstawie art. 6 ust. 1 lit. c) RODO;

    3. możliwości ustalania i dochodzenia roszczeń - na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu administratora;

    4. stałego poprawiania jakości świadczonych usług oraz rozwoju technologii umożliwiających funkcjonowanie sklepów autonomicznych Piko24 - na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu administratora;

    5. zapobiegania nadużyciom związanym z korzystaniem z serwisu - na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu administratora;

    6. badania poziomu satysfakcji i preferencji - na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu administratora;

    7. prowadzenia działań marketingowych i promocyjnych marki Piko24 - na podstawie art. 6 ust. 1 lit. f) RODO, tj. prawnie uzasadnionego interesu administratora.

  • Działania marketingowe, o których mowa w ust. 3 pkt 7, mogą polegać na kierowaniu do Ciebie informacji handlowych po wyrażeniu zgody w tym zakresie. Zgoda taka może być wycofana w każdym momencie o czym poinformuj administratora.

  • Twoje dane osobowe mogą zostać wykorzystane przez administratora w celu stworzenia Twojego profilu w automatyczny sposób (profilowanie). Dane te są wykorzystywane do tworzenia spersonalizowanej oferty promocyjnej lub akcji informacyjnej dla Ciebie. Administrator działa na podstawie art. 6 ust. 1 lit. f) RODO. Możesz w każdej chwili sprzeciwić się profilowaniu, o czym należy poinformować administratora.

§ 3. Zakres przetwarzania danych

  • Administrator przetwarza następujące kategorie danych osobowych:

    • identyfikacyjne (imię, nazwisko),

    • kontaktowe (nr telefonu, adres poczty telefonicznej),

    • dane związane z korzystaniem z serwisu www,

    • pliki cookies, o ile zawierają dane identyfikacyjne.

§ 4. Okres przechowywania danych

  • Twoje dane są przechowywane tylko przez okres niezbędny do realizacji celów przetwarzania, a po tym czasie są usuwane zgodnie z obowiązującymi przepisami prawa. Administrator stosuje procedury regularnej weryfikacji danych, aby ograniczyć ich przechowywanie do niezbędnego minimum.

  • Dane dotyczące komunikacji elektronicznej, w tym dane ruchu i metadane, są przechowywane zgodnie z wymogami PKE i tylko w sytuacjach niezbędnych do realizacji celów określonych przepisami prawa.

§ 5. Twoje uprawnienia

  • Przysługują Ci następujące uprawnienia w związku z przetwarzaniem danych osobowych:

    1. prawo do uzyskania informacji o celach, podstawach prawnych, zakresie przetwarzanych danych, odbiorcach oraz okresie przechowywania danych,

    2. prawo do otrzymania kopii przetwarzanych danych osobowych,

    3. prawo do poprawienia lub uzupełnienia nieścisłych lub niekompletnych danych osobowych,

    4. prawo do usunięcia lub anonimizacji danych, które nie są już potrzebne do realizacji celów, dla których zostały zebrane,

    5. prawo do żądania wstrzymania przetwarzania danych, z wyjątkiem sytuacji, gdy dane muszą być przechowywane zgodnie z polityką retencji lub na podstawie decyzji organu nadzorczego,

    6. prawo do otrzymania danych osobowych w powszechnie używanym formacie umożliwiającym ich przeniesienie do innego administratora,

    7. prawo do sprzeciwu przetwarzania jego danych w celach marketingowych,

    8. prawo do sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu Administratora, jeśli istnieją szczególne okoliczności,

    9. prawo do wycofania zgody na przetwarzanie danych w każdej chwili, bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem.

§ 6. Odbiorcy danych

  • Twoje dane osobowe mogą być udostępniane innym administratorom tylko wtedy, gdy spełnione są wymogi RODO. Administrator dokładnie sprawdza podstawy prawne przed udostępnieniem danych.

  • Powierzanie przetwarzania danych osobowych odbywa się na podstawie umowy powierzenia, zgodnie z art. 28 RODO, określającej cel, zakres przetwarzania oraz odpowiednie środki ochrony danych. Przed powierzeniem przetwarzania danych, Administrator weryfikuje, czy podmiot przetwarzający spełnia wymagania bezpieczeństwa i stosuje odpowiednie środki ochrony danych, zapewniając zgodność z RODO.

  • W związku z realizacją Usługi Piko24 Administrator może udostępniać dane osobowe Użytkowników następującym podmiotom:

    1. operatorowi technicznemu systemu, na którym oparta została Usługa Piko24 - Shelfio Sp. z o.o. z siedzibą w Warszawie;

    2. dostawcom usług IT;

    3. podmiotom świadczącym usługi księgowe, audytorskie, rachunkowe lub prawne;

    4. podmiotom świadczącym usługi sprzedażowo-marketingowe, reklamowe, analityczne lub pośrednictwa w rozwoju produktów i usług oraz obsłudze klientów;

    5. bankom i instytucjom finansowym;

    6. podmiotom i organom władzy publicznej, upoważnionym do przetwarzania tych danych na podstawie przepisów prawa, takim jak urzędy skarbowe lub sądy.

§ 7. Przekazywanie danych poza Europejski Obszar Gospodarczy

  • Poziom ochrony danych osobowych poza Europejskim Obszarem Gospodarczym (EOG), tj. krajami Unii Europejskiej oraz Norwegią, Liechtensteinem i Islandią jest inny niż w UE. W związku z tym Administrator nie przekazuje danych poza EOG. W razie jednak konieczności przekazania Twoich danych poza obszar EOG administrator zobowiązany zapewnić odpowiedni stopień ochrony zgodnie z wymogami prawa, w szczególności poprzez współpracę z podmiotami przetwarzającymi dane osobowe w państwach, w odniesieniu do których została wydana stosowna decyzja Komisji Europejskiej; stosowanie Standardowych Klauzul Umownych wydanych przez Komisję Europejską lub stosowanie wiążących reguł korporacyjnych, zatwierdzonych przez właściwy organ nadzorczy.

§ 8. Bezpieczeństwo danych osobowych

  • Administrator na bieżąco prowadzi analizę ryzyka w celu zapewnienia, że Twoje dane osobowe przetwarzane są w sposób bezpieczny. Wszystkie operacje na danych osobowych są rejestrowane i dokonywane jedynie przez uprawnionych pracowników i współpracowników. Administrator wymaga gwarancji przetwarzania Twoich danych na tym samym poziomie od podwykonawców i inne podmioty współpracujących.

  • Polityka bezpieczeństwa obejmuje szczegółowy plan zarządzania incydentami bezpieczeństwa, który definiuje procedury identyfikacji incydentów, ich klasyfikacji i oceny ryzyka, podejmowania działań naprawczych, raportowania oraz zapobiegania przyszłym naruszeniom.

  • W przypadku Incydentu Administrator podejmuje niezwłocznie następujące kroki:

    1. analizuje zakres i charakter incydentu, aby ograniczyć jego skutki;

    2. informuje osoby, których dane dotyczą, o incydencie oraz działaniach podjętych w celu ochrony ich danych, a także wskazuje na możliwe konsekwencje i zalecane środki ochrony;

    3. przeprowadza wewnętrzne audyty w celu wyciągnięcia wniosków i zminimalizowania ryzyka wystąpienia podobnych zdarzeń w przyszłości;

    4. zgłasza naruszenie odpowiedniemu organowi nadzorczemu (Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od wykrycia incydentu, chyba że naruszenie nie stwarza ryzyka naruszenia praw lub wolności osób fizycznych. Zgłoszenie zawiera opis charakteru naruszenia, kategorie i przybliżoną liczbę poszkodowanych osób, możliwe konsekwencje naruszenia, działania podjęte w celu zaradzenia sytuacji.

    5. Administrator wdraża i stale doskonali środki ochrony przed cyber zagrożeniami, w tym:

      • Systemy zapobiegania włamaniom (IDS/IPS),

      • Regularne aktualizacje i łatki zabezpieczające,

      • Szyfrowanie danych w tranzycie i w spoczynku,

      • Monitorowanie ruchu sieciowego w celu identyfikacji podejrzanej aktywności,

      • Wdrożenie zasad minimalizacji uprawnień dostępu do danych,

      • Regularne audyty i przeglądy bezpieczeństwa,

      • Szkolenia dla pracowników w zakresie wykrywania phishingu oraz reagowania na incydenty,

      • Testowanie procedur poprzez symulacje incydentów (np. ataki phishingowe, ransomware).

      • Regularne testy penetracyjne w celu oceny podatności systemów,

      • Automatyczne i ręczne testy bezpieczeństwa aplikacji i infrastruktury.

§ 9. Zmiany polityki prywatności

  • Administrator stale weryfikuje i w razie konieczności aktualizuje Politykę prywatności.

  • Niniejszą Politykę prywatności wprowadzono do stosowania w dniu 17 listopada 2025 r.